خادم أمازون مكشوف يكشف بيانات شخصية حساسة لمئات الآلاف من مستخدمي تطبيق Duc

سمح خادم تخزين مستضاف على أمازون ومتاح للعامة لأي شخص يمتلك متصفح ويب بالوصول إلى بيانات شخصية يحتمل أن تكون لمئات الآلاف من الأشخاص دون الحاجة إلى كلمة مرور. شملت هذه البيانات رخص القيادة وجوازات السفر ومعلومات شخصية أخرى تم جمعها بواسطة تطبيق Duc، وهي خدمة لتحويل الأموال تملكها شركة Duales ومقرها تورونتو.

قالت شركة التكنولوجيا المالية الكندية إنها حلت مشكلة انكشاف البيانات يوم الثلاثاء بعد أن نبهت TechCrunch رئيسها التنفيذي إلى أن أحد خوادم التخزين السحابي للشركة كان يعرض محتوياته علنًا، دون كلمة مرور.

كما تم تخزين البيانات غير مشفرة، مما يعني أن أي شخص لديه رابط للبيانات كان قادرًا على عرضها بالكامل.

تواصل أنوراج سين، باحث الأمن في CyPeace الذي اكتشف الثغرة الأمنية في وقت سابق من الأسبوع، مع TechCrunch في محاولة لإخطار مالك البيانات. قال سين إنه يمكن لأي شخص عرض وتنزيل البيانات باستخدام متصفحه بمجرد معرفة عنوان الويب سهل التخمين لخادم التخزين.

وفقًا لسين، أدرج خادم التخزين المستضاف على أمازون أكثر من 360 ألف ملف يحتوي على وثائق حكومية ومعلومات أخرى يستخدمها العملاء للتحقق من هويتهم من خلال فحوصات "اعرف عميلك" (KYC). تضمنت هذه الملفات صور سيلفي قام المستخدمون بتحميلها لإثبات هويتهم الحقيقية.

لم تتمكن TechCrunch من تحديد العدد الدقيق لرخص القيادة وجوازات السفر المكشوفة؛ ومع ذلك، احتوت عدة مجلدات في الحاوية المكشوفة على عشرات الآلاف من الملفات التي حملها المستخدمون، وأظهرت عينة منها رخص قيادة وجوازات سفر وصور سيلفي.

تروج Duales لتطبيقها كوسيلة للمستخدمين لإرسال الأموال إلى مستخدمين آخرين، بما في ذلك في الخارج في كوبا وأماكن أخرى. يظهر قائمة تطبيقها على أندرويد في متجر تطبيقات Google Play أكثر من 100 ألف عملية تنزيل للمستخدمين حتى الآن.

احتوت الملفات، التي يعود تاريخها إلى سبتمبر 2020 وكانت تُحمّل يوميًا، أيضًا على جداول بيانات تسرد أسماء العملاء وعناوين منازلهم وتواريخ وأوقات وتفاصيل معاملاتهم.

عند التواصل معه عبر البريد الإلكتروني، أخبر هنري مارتينيز غونزاليس، الرئيس التنفيذي لشركة Duales، TechCrunch أن البيانات تم تخزينها على "موقع تجريبي"، في إشارة إلى موقع يستخدم بشكل أساسي للاختبار، لكنه لم يوضح سبب إتاحة المعلومات الشخصية للعملاء علنًا في نفس قاعدة البيانات.

قال مارتينيز غونزاليس: "جميع وسائل الحماية مطبقة. نحن نُخطر الأطراف المعنية. لم نتعاقد على أي خدمات منكم."

بعد أن أرسلت TechCrunch بريدًا إلكترونيًا إلى الشركة، أصبحت الملفات الموجودة على خادم التخزين غير قابلة للوصول، على الرغم من أن قائمة محتويات الخادم لا تزال مرئية.

لم يذكر مارتينيز غونزاليس ما إذا كانت الشركة لديها الوسائل التقنية، مثل السجلات، لتحديد من أو كم عدد الأشخاص الذين وصلوا إلى البيانات.

ظهر موقع تطبيق Duc متوقفًا لفترة وجيزة يوم الخميس، وعرض خطأ "bad gateway".

ليس من الواضح كيف أو لأي سبب تركت Duales خادم التخزين المستضاف على أمازون مفتوحًا للعامة على الإنترنت. في السنوات الأخيرة، أضافت أمازون فحوصات أمنية لمنع المستخدمين من كشف بياناتهم عن غير قصد على الإنترنت بعد سلسلة من الحوادث البارزة حيث قامت العديد من الشركات العملاقة، بما في ذلك وكالة تجسس أمريكية، بنشر بيانات حساسة على الويب بسبب سوء التكوين.

عندما تواصلت TechCrunch مع الجهات المعنية كجزء من جهودنا للاتصال بمالك التطبيق، قال منظم الخصوصية الكندي إنه يسعى للحصول على مزيد من المعلومات من الشركة.

قال متحدث باسم المنظم لـ TechCrunch عبر البريد الإلكتروني، رافضًا التعليق أكثر: "تواصل مكتب مفوض الخصوصية الكندي مع الشركة للحصول على مزيد من المعلومات وتحديد الخطوات التالية."

تطبيق Duc هو أحدث تطبيق في قائمة من الثغرات الأمنية الأخيرة التي تنطوي على كشف بيانات هوية حساسة لأشخاص آخرين. يأتي هذا الانكشاف للبيانات في الوقت الذي تتطلب فيه التطبيقات والمواقع الإلكترونية بشكل متزايد من مستخدميها تحميل وثائقهم الحكومية للتحقق من هويتهم، ولكن دون اتخاذ خطوات كافية لتأمين البيانات التي يجمعونها.